对于深度神经网络 (DNNs) 的安全性问题，本文重点关注于物理对抗攻击，总结了 150 篇现有的物理对抗攻击的论文，详细分析了物理对抗攻击的特征、媒介、方法及其效果，并探讨了当前的挑战和未来方向。

Sep, 2022

通过 PhysGAN 产生物理世界中鲁棒性的对抗性样本，有效欺骗自动驾驶系统并在数字仿真和现实世界中进行评估，比其他基线方法表现更好，为攻击常规自动驾驶场景生成逼真和具有物理世界鲁棒性的对抗性样本的首个技术。

Jul, 2019

本文全面调查了当前关注的物理对抗攻击趋势，详细解析物理对抗攻击的概念、特征和要求，探索其在不同应用中的目标任务下，包括分类、检测、人脸识别、语义分割和深度估计等，各种物理对抗攻击方法，并评估其有效性、隐蔽性和鲁棒性，讨论了当前挑战和未来研究方向，强调了增强防御机制、探索新的攻击策略、在不同应用领域评估攻击，以及建立物理对抗攻击的标准基准和评估准则的必要性。通过这个全面的调查，旨在为计算机视觉领域的研究人员、实践者和政策制定者提供有价值的资源，帮助他们全面了解物理对抗攻击，并促进鲁棒和安全的基于深度神经网络的系统的发展。

Aug, 2023

本文研究了利用自然现象 —— 影子生成干扰以实现自然和偷偷摸摸的物理世界对抗攻击的新型光学对抗样本，并在模拟和真实环境下进行了广泛评估，结果表明此攻击的成功率达到了 98.23% 和 90.47%，而且可以在真实场景下连续欺骗移动摄像机 95% 以上的时间。

Mar, 2022

该研究介绍了一种通用的攻击算法，RP2，用于在不同的物理条件下产生强大的视觉对抗扰动，以及一种用于评估物理对抗性的两阶段评估方法，通过黑白贴纸形式的扰动对真实的红绿灯进行攻击，在实验室测试和场地测试结果分别达到 100% 和 84.8% 的目标分类器的误分率。

Jul, 2017

通过自动生成对抗性图像的方式，本研究展示了面部认证系统在实际场景中对对抗性图像的脆弱性，并提出 AdvGen 作为一种自动化生成对抗网络来模拟打印和重放攻击，生成可以欺骗最新型 PAD 的对抗性图像，其攻击成功率高达 82.01%。本研究在四个数据集和十个最新型 PAD 上对 AdvGen 进行了广泛测试，并在真实的物理环境中进行了实验证明了攻击的有效性。

Nov, 2023

通过对物理对抗性攻击进行全面的特征分析，探讨制造和重抽样作为物理对抗性示例的主要来源，以及针对物理对抗性攻击的防御策略，并识别目前面临的挑战和未来研究机会。

Nov, 2023

本文研究通过不同攻击方法，包括黑盒攻击，来制造可以用于在不同环境中欺骗系统的扰动，并展示可靠的物理对抗攻击可以使用不同的方法进行执行，同时也可以降低扰动的可察觉程度。该发现强调了即使在黑盒情况下，需要通过可行的方法保护 DNN 的需求，同时也为使用对抗攻击增强原始训练数据的方法提供了基础。

Feb, 2023

该研究提出一种基于生成对抗网络（GAN）图像流形和物理世界的无梯度攻击方法，用于生成自然物理的对抗贴片以欺骗对目标物体检测器的分类。结果表明，该方法在数字和物理场景下均有效。

Mar, 2023

本文提出了一种结合了多数投票机制的实时检测器 VisionGuard*，可用于检测时间序列图像数据中的对抗性物理攻击，通过实验证明其优于设计用于异常数据和数字攻击图像的检测器。

Apr, 2023